VIGILANCIA MASIVA POR INTERNET, UN ARMA DE LAS EMPRESAS INFORMATICAS Y DE LA INTELIGENCIA DE EE.UU.

Traducción de “The Lesson of Hacking Team’s Malware”

De William A. Blunden*

Publicado en Dissident Voice[1], abril 22 de 2015

LA LECCION DE SOFTWARE MALICIOSO DE HACKING TEAM

LA VIGILANCIA MASIVA ES IMPULSADA POR EL SECTOR PRIVADO

Aún no se ha reportado y descrito como las herramientas creadas por el Complejo industrial de software malicioso[2] están siendo desplegadas por los servicios de seguridad de EE.UU. Mientras tanto, la cobertura que rodea esta historia se centra principalmente en las agencias federales, pero resulta importante dar un paso atrás por un momento y apreciar el cuadro con una perspectiva mayor. En particular, fijándonos en los que construyen, operan y se benefician de la visión de la naturaleza del panorama mundial que la vigilancia masiva ofrece.

Un informe[3] publicado por Privacy International, así como un artículo[4] divulgado por Vice Motherboard, claramente muestran que tanto la DEA como el Ejército de los EE.UU. se relacionan hace rato con Hacking Team[5] [6], una empresa italiana que es famosa por vender software malicioso a un número indeterminado de personajes desagradables[7].

Registros federales indican que la DEA y el Ejército [de EE.UU. –nota del CAD] adquirieron el paquete del Sistema de Control Remoto (RCS) de Hacking Team. RCS es un rootkit[8], un software backdoor[9] con muchas ‘campanas y silbatos’ (características que los hacen más inocentes y hasta atractivos[10] –nota del CAD). Es un producto que facilita una plataforma encubierta en las máquinas infectadas a fin que los intrusos puedan tranquilamente hacerse con información sensible. En estos datos confidenciales se incluyen las claves de cifrado. De hecho, Hacking Team tiene un folleto[11] sobre su RCS que explica a los clientes potenciales que:

“Lo que usted necesita es una forma de saltarse el cifrado[12], reunir información relevante de cualquier dispositivo, y mantener un monitoreo de sus objetivos donde quiera que se encuentren, incluso fuera del dominio de su control.”

Nota: Los lectores interesados en los detalles esenciales sobre RCS pueden revisar los manuales en línea[13].

Es de público conocimiento que otras agencias federales, como el FBI[14] y la CIA[15], se han convertido en expertos en frustrar los cifrados. Aunque éste tipo de subversión no necesariamente molesta a las luminarias de la alta tecnología, como Bruce Schneier, que creen que espiar es "perfectamente razonable"[16], siempre que esté dirigido a blancos específicos[17]. Ídem es para Edward Snowden[18]. Schneier y Snowden mantienen que las operaciones encubiertas, envueltas en capas de secretos oficiales, son de alguna manera compatibles con la democracia siempre que sean de alcance limitado.

Pero aquí está la pillería: el RCS está diseñado y comercializado como un medio de recolección masiva de datos. Ello viola la condición de la vigilancia específica. En concreto, un folleto[19] sobre el RCS de Hacking Team comenta orgullosamente:

“’El Sistema de Control Remoto’ puede monitorear desde unos pocos hasta cientos de miles de blancos. El sistema completo puede ser manejado mediante una sola interfaz, fácil de utilizar y que simplifica día a día las actividades de investigación.”

¿Acaso suena esto como un producto creado para una recolección específica?

Ahí lo tienes. La adulteración del cifrado en masa con atentos saludos de Hacking Team. El hecho de que haya toda una industria de empresas[20] como ésta debiera tener una pausa, puesto que hay inquietantes ramificaciones relacionadas con el fantasma del control totalitario.

Estados Unidos Incorporado es Vigilancia Masiva

En todo el asunto Snowden existe un tema que se repite. Ello apareció recientemente en un prólogo[21], escrito por Glenn Greenwald para el libro de Tom Engelhardt Gobierno en la sombra:

“Realmente no creo que haya hoy en día algo más importante que luchar contra la vigilancia del Estado [énfasis mío].  En definitiva, la cuestión que más importa es que los derechos que sabemos que tenemos como seres humanos, son los derechos que ejercemos.”

Existe una tendencia a enmarcar la vigilancia masiva en términos del Estado. Como un mero resultado de las agencias del gobierno, tales como la CIA y la NSA. El relato preferido por la extrema derecha es aquel que se centra por completo en el gobierno (el así llamado "Estado vigilante") como el único culpable, ignorando por completo los poderes corporativos que fundamentalmente moldean la toma de decisiones políticas.

El filósofo estadounidense John Dewey observó una vez que, "el poder reside hoy en el control de los medios de producción, de intercambio, de la publicidad, el transporte y la comunicación. Quien es propietario de ellos dirige la vida del país", incluso bajo el pretexto de las estructuras democráticas.

Hay unos 1300 millonarios[22] en los Estados Unidos que pueden dar testimonio de este hecho[23]. Así como alguien cualquiera puede inducirlo si siguiera los acontecimientos en torno a la secreta[24] Asociación Transpacífica[25].

La observación de Dewey proporciona una base conceptual para entender cómo los intereses de las empresas conducen el aparato de la vigilancia mundial. La vigilancia masiva es un empeño corporativo porque las personas que inevitablemente toman las decisiones son las mismas que controlan los recursos. Por ejemplo, la columna vertebral de internet está compuesta por la infraestructura dirigida por los proveedores de una red Tier 1 [es una red de protocolo de internet –n del CAD] tales como Verizon y Level 3 Communications. Estas empresas están en una posición perfecta para hacer un seguimiento de los usuarios[26] y eso es exactamente lo que hacen[27].

Además, cuando se lleva a cabo el espionaje, por lo general es ejecutado, de una u otra forma, por los intereses empresariales. Aproximadamente el 70 por ciento[28] del presupuesto nacional de inteligencia se canaliza a los contratistas de defensa. No importa que la maquinaria de vigilancia del sector privado reduzca el rol de la NSA, puesto que espiar a los usuarios es una parte integral del modelo de negocios de alta tecnología. Las empresas de Internet como Google, operan sus servicios mediante la venta de los datos de los usuarios a los agentes intermediarios de la información. La industria de agentes corredores de la información, por ejemplo, genera ingresos anuales por casi US$ 200 mil millones[29]. Eso es más del doble de todo el presupuesto de inteligencia[30] 2014 de los EE.UU.

Desde un punto de vista histórico, es imperativo darse cuenta de que las empresas de alta tecnología son esencialmente la descendencia de la industria de defensa. Esto es cierto incluso hoy en día cuando compañías como Google están fuertemente[31] vinculadas[32] con el Pentágono. Por décadas (remontándonos a los días de Crypto AG[33]), el sector privado ha colaborado intensamente con la NSA en su campaña de socavamiento masivo: la urgencia por insertar puertas traseras ocultas[34] y debilitar protocolos de cifrado[35] a destajo. Las empresas han instituido "cambios en el diseño" que hacen[36] que los computadores y dispositivos de red sean "explotables". También se ha revelado que empresas como Microsoft tienen acuerdos secretos[37] con los servicios de seguridad de EE.UU., a fin de proporcionar información sobre las vulnerabilidades no publicadas a cambio de beneficios especiales tales como el acceso a información clasificada.

En pocas palabras: contrariamente a los tópicos de conversación que presentan a las empresas de alta tecnología como nuestros salvadores, más a menudo estas son cómplices si no directamente responsables de la vigilancia masiva. Y puedes apostar a que sus directores ejecutivos dedicarán significativos recursos a las campañas de relaciones públicas destinadas a ocultar esta verdad.

Desenlace

Una observación al partir: el énfasis actual sobre la libertad constitucional deja de lado el otro pilar de la constitución: la igualdad. Concentrarse intensamente en la libertad mientras se evita la noción complementaria de la igualdad, conduce al tipo de feas prácticas que antecedieron a la Guerra Civil. De hecho, hay quienes sostienen que la sociedad está avanzando hacia algo peor[38], a una realidad[39] que por cierto conoce muy bien la elite financiera. Cuando la miseria colectiva y pública alcance un punto de inflexión, y las personas comiencen a movilizarse, el panorama digital de la clase dominante será aprovechado para mantener el control social. Ellos van a hacer lo que siempre han hecho, trabajar incansablemente para mantener el poder e imponer la jerarquía.

* Bill Blunden es un investigador independiente cuyas áreas de estudio en la actualidad incluyen la seguridad informática, el análisis forense y el análisis institucional. Es autor de varios libros, entre ellos El Arsenal Rootkit[40] y He Aquí Una Pálida Farsa: Ciberguerra, la Amenaza de la Inflación y el Complejo Industrial de Software Malicioso[41]. Es el investigador principal de Below Gotham Labs.

Equipo Internacional –CAD CHILE

Abril 23 de 2015

---

[1] http://dissidentvoice.org/2015/04/the-lesson-of-hacking-teams-malware/#more-58064

[2] En el original se utiliza el término ‘Malware’ para lo que hemos denominado ‘Software Malicioso’. Ver: http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=193 –nota del CAD.

[3] https://s3.amazonaws.com/s3.documentcloud.org/documents/1875699/briefing-for-the-italian-government-on-hacking.pdf

[4] http://motherboard.vice.com/read/the-dea-has-been-secretly-buying-hacking-tools-from-an-italian-company

[5] http://www.hackingteam.it/

[6] El ‘Hacking’ hace referencia a un conjunto de herramientas y recursos informáticos, mediante los cuales una persona deliberadamente viola la seguridad informática, normalmente para causar desconcierto o conseguir información confidencial como datos financieros. Originariamente, la palabra "hacker" hacía referencia a cualquier persona interesada en la informática; hoy en día, el término es usado por el público y la prensa para designar a las personas que realizan actividades maliciosas por internet. –nota del CAD

[7] https://citizenlab.org/wp-content/uploads/2014/11/Mapping-Hacking-Team%E2%80%99s-_Untraceable_-Spyware33.pdf

[8] Rootkit es un programa o un conjunto de programas que ocultan la presencia de software malicioso en un sistema computacional. Para los sistemas Windows, es un programa que penetra en el sistema e interfiere con las funciones del mismo (con la API de Windows). Efectivamente, pueden esconder su presencia mediante la interferencia y modificación de las funciones de bajo nivel de la API. Más aún, pueden ocultar la presencia de procesos particulares, de carpetas, archivos y claves de registro. Algunos rootkits instalan sus propios controladores y servicios en el sistema, manteniéndose estos también “invisibles”. Véase: http://support.kaspersky.com/viruses/disinfection/5350 -nota del CAD.   

[9] O programas de ‘puerta trasera’, debido a que saltan los canales normales de autenticación, asegurando un acceso remoto no autorizado al computador. De hecho, la NSA yanqui los utiliza en todos los sistemas operativos Windows desde 1999; ver: http://www.washingtonsblog.com/2013/06/microsoft-programmed-in-nsa-backdoor-in-windows-by-1999.html -nota del CAD.

[10] http://www.webopedia.com/TERM/B/bells_and_whistles.html

[11] http://www.hackingteam.it/images/stories/galileo.pdf

[12] O encriptación –nota del CAD

[13] https://firstlook.org/theintercept/2014/10/30/hacking-team/

[14] http://www.belowgotham.com/fbi-breaks-crypto.pdf

[15] https://firstlook.org/theintercept/2015/03/10/ispy-cia-campaign-steal-apples-secrets/

[16] https://www.schneier.com/blog/archives/2015/03/new_zealands_xk.html

[17] https://www.schneier.com/blog/archives/2015/02/the_equation_gr.html

[18] http://www.belowgotham.com/CIA-Global-Subversion.pdf

[19] https://www.documentcloud.org/documents/409278-147-hackingteam-rcs.html#document/p3/a68017

[20] http://www.issworldtraining.com/ISS_WASH/sponsors2.html

[21] http://cryptome.org/2015/04/greenwald-shadow-gov.htm

[22] http://www.forbes.com/sites/abrambrown/2014/03/03/forbes-billionaires-full-list-of-the-richest-americans/

[23] http://www.washingtonpost.com/blogs/monkey-cage/wp/2014/04/08/rich-people-rule/

[24] http://www.nytimes.com/2015/04/17/business/obama-trade-legislation-fast-track-authority-trans-pacific-partnership.html

[25] http://noalttip.blogspot.com/2015/04/el-ttip-defiende-los-intereses-del.html#more –nota del CAD

[26] http://www.nytimes.com/2015/01/26/technology/verizons-mobile-supercookies-seen-as-threat-to-privacy.html

[27] http://bits.blogs.nytimes.com/2015/02/17/ibm-g-e-and-others-create-big-data-alliance/

[28] http://www.salon.com/2013/06/10/digital_blackwater_meet_the_contractors_who_analyze_your_personal_data/

[29] http://www.commerce.senate.gov/public/index.cfm?p=Hearings&ContentRecord_id=a5c3a62c-68a6-4735-9d18-916bdbbadf01&Statement_id=a47c081a-d653-4272-8d12-d6edc1e04dc6&ContentType_id=14f995b9-dfa5-407a-9d35-56cc7152a7ed&Group_id=b06c39af-e033-4cba-9221-de668ca1978a&MonthDisplay=12&YearDisplay=2013

[30] http://fas.org/irp/budget/

[31] https://medium.com/@NafeezAhmed/how-the-cia-made-google-e836451a959e

[32] https://wikileaks.org/google-is-not-what-it-seems/

[33] http://cryptome.org/jya/nsa-sun.htm

[34] http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security

[35] http://www.reuters.com/article/2014/03/31/us-usa-security-nsa-rsa-idUSBREA2U0TY20140331

[36] http://www.theguardian.com/world/interactive/2013/sep/05/sigint-nsa-collaborates-technology-companies

[37] http://www.bloomberg.com/news/print/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html

[38] http://www.ianwelsh.net/serfdom-is-better-than-what-the-west-is-heading-for/

[39] http://cryptome.org/0005/rich-pander.pdf

[40] http://www.belowgotham.com/RootkitArsenal.htm

[41] http://www.amazon.com/exec/obidos/ASIN/1937584801/dissivoice-20